Los ciberdelincuentes han vulnerado decenas de miles de firewalls y VPN de Fortinet utilizados por importantes empresas de todo el mundo, según dos empresas de ciberseguridad.
Esta campaña de piratería en curso a gran escala, denominada FortiBleed, parece implicar cuestiones más fundamentales que la explotación de vulnerabilidades desconocidas en dispositivos específicos. Las empresas no tienen que cambiar las contraseñas del firewall ni asegurarse de que los piratas informáticos no tengan acceso a las credenciales que utilizan para los sistemas confidenciales expuestos en Internet.
En esta campaña, los piratas informáticos utilizan primero herramientas automatizadas para escanear Internet en busca de firewalls y VPN de Fortinet expuestos. Luego utiliza una lista de contraseñas conocidas para ingresar a su dispositivo. En ese momento, los ciberdelincuentes pueden robar datos aún más confidenciales de las empresas víctimas, dijeron las firmas de ciberseguridad Hudson Rock y SOCRadar en un informe publicado esta semana.
«Una vez que un dispositivo se ve comprometido,[el hacker]lo utiliza como puesto de escucha, monitorea el tráfico que pasa y recopila credenciales adicionales a medida que pasa. Las contraseñas recién recopiladas luego se devuelven al escáner para comprometer más dispositivos. El sistema proporciona automáticamente la información», escribió SOCRadar.
La portavoz de Fortinet, Tiffany Cursi, dijo a TechCrunch que la compañía está «consciente de informes de campañas de recolección de credenciales de terceros dirigidas a firewalls y puertas de enlace VPN de Fortinet». Fortinet dijo que, según su análisis, los datos involucraban «datos compartidos y credenciales de fuerza bruta de incidentes anteriores y no están relacionados con incidentes o avisos recientes».
Hudson Rock dijo que encontró evidencia que sugiere que más de 73.000 URL únicas de Fortinet fueron pirateadas, mientras que SOCRadar dijo que el número total de dispositivos pirateados fue de más de 30.000.
Según Hudson Rock, las empresas pirateadas incluyen Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC.
Un portavoz de Lenovo reconoció la solicitud de comentarios de TechCrunch, pero no recibió respuesta. Las otras empresas no respondieron a las solicitudes de comentarios.
Según Hudson Rock y SOCRadar, los países con los dispositivos más afectados son India, Estados Unidos, Taiwán y México. Sin embargo, ambas empresas afirman que hay víctimas en todo el mundo. Según Hudson Rock, las industrias más afectadas incluyen servicios de TI, materiales de construcción y telecomunicaciones. Según SOCRadar, las agencias gubernamentales también se encuentran entre las víctimas. Ambas empresas de ciberseguridad dijeron que el grupo detrás de la campaña de piratería parece ser de habla rusa.
El informe de Hudson Rock y SOCRadar se basa en el descubrimiento de una lista de credenciales para dispositivos y afiliados de Fortinet. La actividad de piratería fue reportada por primera vez durante el fin de semana por el investigador de seguridad Bob Diatchenko. Kevin Beaumont, un investigador independiente de ciberseguridad, dijo en una publicación de blog el miércoles que analizó los datos y los encontró «legítimos».
Varias campañas de piratería se han dirigido a dispositivos Fortinet y los han comprometido en los últimos años, normalmente explotando vulnerabilidades en esos sistemas. En este caso, los piratas informáticos recurren a un ataque más simple y menos sofisticado: contraseñas comprometidas.
Actualizado con comentario de Fortinet.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
